Firewall de todo o tráfego de entrada com regras personalizadas

1

Como você bloqueia automaticamente todo o tráfego de entrada criando regras personalizadas para cada conexão (em tempo real) usando o iptables?

Para esclarecer - a situação é que meu linux box está sendo DDOSed via porta 80 e eu quero definir o iptables para capturar e bloquear todos os bots de ataque. Depois de algumas horas (e espero que todos os bots tenham acabado), eu levanto a política e deixo o tráfego legítimo do www entrar.

EDIT: Ou se você pudesse sugerir qualquer outra forma de me proteger contra o (provavelmente) flood SYN distribuído.

    
por Halik 26.03.2011 / 22:45

1 resposta

1

Não, isso não vai fazer por você.

O bloqueio dinâmico de cada conexão fornecerá exatamente o mesmo resultado da definição de uma regra geral para bloquear todas as conexões , independentemente de sua origem, ou seja, seu site ficará inacessível.

Se o seu problema é simplesmente uma inundação de sin, basta ligar syncookies e chamá-lo por dia. Mas se for um verdadeiro ataque DDoS, você precisará fazer um pouco mais.

Em vez disso, você precisa filtrar seu tráfego com base em algum fator presente em todo o tráfego DDoS, mas ausente no tráfego legítimo, como o cabeçalho do agente do usuário, supondo que esse seja tráfego da web. Eu consegui fazer isso usando o nginx como um proxy reverso, mas tenha em mente que configurar e gerenciar tal coisa não é trivial e requer um administrador que conheça sua tecnologia. Você não vai resolver isso seguindo as instruções em algum blog.

Se você não tiver um, encontre um.

    
por 26.03.2011 / 23:01